Det viktigste aspektet ved ethvert internettoppsett i 2019 er det trådløse nettverket. Mens kablede tilkoblinger er raskere og ofte sikrere, med litanien til enheter som ligger rundt huset ditt som trenger et trådløst signal. Fra smarte TV-er og høyttalere til smarttelefonen og nettbrettet er en trådløs tilkobling ganske enkelt et must-have i 2019.
Når det kommer til trådløst internett, kommer du selvfølgelig til å håndtere mange forskjellige sikkerhetsbetingelser du kanskje ikke er kjent med, noe som fører til mye forvirring rundt det trådløse nettverksområdet. Det er forkortelser overalt og mange alternativer, og de fleste av disse har direkte å gjøre med sikkerhetsprotokoller. Alt dette betyr at nettverkssikkerheten din er direkte utsatt, med mindre du vet nøyaktig hva du gjør.
Så for denne artikkelen skal vi se på WPA2 Enterprise-sikkerhet, hvordan den fungerer og om du trenger den. Fra historien til WPA som en sikkerhetsprotokoll til hvordan WPA2 Enterprise virkelig kan oppheve hjemmets sikkerhet, er dette din guide til å sette opp WPA2 Enterprise i nettverket ditt.
Hva er WPA2?
Som svar på sikkerhetskatastrofen som var WEP, utviklet WiFi Alliance WPA (WiFi Protected Access.) Siden WPA var et direkte svar på WEP, løste den mange av WEPs mange problemer. WPA implementerte TKIP (Temporal Key Integrity Protocol), som forbedret den trådløse krypteringen kraftig ved å generere nøkler dynamisk for hver sendte pakke. WPA inkluderer også sjekker for å sikre at overførte data ikke har blitt tuklet med.
Mens WPA var bra, har det også sine mangler. De fleste av dem stammet fra bruken av TKIP. TKIP var en forbedring i forhold til WEPs kryptering, men det er fremdeles utnyttet. Wi-Fi Alliance introduserte WPA2 med obligatorisk AES (Advanced Encryption Standard) -kryptering. AES er en sterkere krypteringsstandard med støtte for 256bit kryptering. Per nå er WPA2 med AES det sikreste alternativet.
Hva er forskjellen mellom bedrift og personlig?
Nå er det fortsatt spørsmålet om WPA2 Enterprise. Det er tross alt sannsynligvis grunnen til at du klikket på denne artikkelen i utgangspunktet. Hvis du har sett på konfigurasjonsinnstillingene til en trådløs ruter som ble gjort etter 2006, har du kanskje lagt merke til at det er to alternativer for WPA2. På de fleste rutere kan du finne den ene merket "Enterprise", og den andre er merket "Personal". Begge alternativene er WPA2 og bruker den samme AES-krypteringen. Forskjellen mellom dem kommer fra hvordan de takler å koble brukere til nettverket.
WPA2 Personal går også av WPA2-PSK eller WPA2 Pre-Shared Key fordi den administrerer tilkoblinger til nettverket med et passord som allerede er delt med personen som kobler til. Dette fungerer bra for små hjemmenettverk fordi du generelt sett kan stole på alle i nettverket, og de er ikke mye av et mål for potensielle inntrengere. Sjansen er at hvis du har koblet til WiFi hjemme hos en venn, eller satt opp ditt eget trådløse nettverk, ble det konfigurert med WPA2-PSK.
WPA2 Enterprise er tydeligvis mer fokusert på forretningsbrukere. I stedet for bare å bruke et enkelt passord for å autentisere tilgang, er WPA2 Enterprise avhengig av en RADIUS-server og en database med separate klientopplysninger for autentisering. Dette er bra for bedrifter fordi de har ressursene til å sette opp en server for autentisering. Virksomheter har også større sikkerhetsbehov. En virksomhet kan også raskt komme seg i tilfelle en enhet går tapt eller blir stjålet ved å tildele hver bruker sin egen påloggingsinformasjon. I tillegg tillater det en bedrift å beskytte seg mot misfornøyde ansatte som kanskje vil skade nettverket deres.
Hva er fordelene med WPA2 Enterprise?
Fordelene med WPA2 Enterprise er ikke akkurat fordeler for alle. Hvis du bare ønsker å sette opp et enkelt hjemmenettverk med lite problemer eller vedlikehold som kreves, vil WPA2 Enterprise ikke være en god løsning for deg. Det er ganske motsatt av det du ønsker. Imidlertid, hvis du driver en bedrift, eller du leter etter finkornet sikkerhet i hjemmenettverket, har WPA2 Enterprise flere egenskaper som gjør det til en utmerket kandidat.
WPA2 Enterprise bruker en database. Selv om det kanskje ikke er så veldig bra når du bare har å gjøre med en håndfull brukere, kan det å ha kraften og verktøyet til en database være avgjørende når du jobber med et stort antall tilkoblinger. Det gjør det mulig for nettverksadministratorer å spore, administrere og manipulere data enkelt med verktøy som de er kjent med på en effektiv måte.
Bruk av en database hjelper også til med å forbedre en annen nøkkelkarakteristikk for WPA2 bedriftsnettverk, muligheten til å deaktivere brukernes legitimasjon. En nettverksadministrator kan enkelt deaktivere en brukers konto i tilfelle en enhet går tapt, blir stjålet eller hvis brukeren forlater selskapet. Individuelle påloggingsopplysninger bidrar også til å inneholde potensielle trusler ved å gjøre det enkelt å fjerne enhver kompromittert maskin fra nettverket.
WPA2 Enterprise eliminerer behovet for å endre påloggingsinformasjon når en administrator fjerner en bruker fra nettverket eller en enkelt maskin blir kompromittert. Det vil være en enorm smerte for IT-avdelingen i et stort selskap å måtte koble til hver enhet på nettverket sitt igjen med en ny innlogging hver gang noen forlater selskapet. Det gir bare ikke mening.
Bruken av individuelle brukergodkjenningsnøkler kompartmentaliserer også nettverket, og begrenser hvilke nettverksdata hver bruker har tilgang til. I et WPA2-PSK-nettverk kan hver bruker se nettverksdataene til alle andre brukere. Dette gjør det veldig enkelt for en inntrenger eller en voldsom angriper å få tilgang til mer informasjon på nettverket og forårsake mer skade. For bedriftsnettverk er dette ikke et problem, takket være de enkelte nøklene.
En annen flott funksjon i WPA2 Enterprise er muligheten til å bruke sertifikater for autentisering. Passord er problematiske av så mange grunner, og ikke minst er deres sårbarhet for angrep fra ordbøker. For å gjøre vondt verre, er det nesten umulig å stole på at brukerne dine lager sterke passord. Det er nesten som om folk instinktivt velger søppel hver gang. Dette er faktisk den største risikoen for WPA2-PSK-nettverk. Sertifikater er nesten som en forsikring mot dårlige passord. Selv om en angriper klarer å gjette brukerens forferdelige passord, vil de fremdeles ikke kunne logge på uten brukerens sertifikat. Sertifikater gir enda et lag beskyttelse til bedriftsnettverk.
Hvordan implementerer du et WPA2 Enterprise Network?
Det er absolutt umulig å dekke alle mulige konfigurasjoner og kombinasjoner av omstendigheter som kan gå ut på å sette opp et WPA2 Enterprise WiFi-nettverk. Ingen kommer til å ha den samme nettverksmaskinvaren og programvaren, og ingen kommer til å ha de samme klientene. Det er imidlertid grunnleggende trinn som nettverksadministratorer kan bruke ved hvert nettverksoppsett.
Før du graver deg i nettverket, må du konfigurere brukerdatabasen. Det kan virke som overkill, men MySQL eller en kompatibel klone som MariaDB er det beste alternativet. Du kan konfigurere databasen din på en egen maskin, en eksisterende databaseserver eller på samme maskin som RADIUS-serveren. Hvor du velger skal avhenge av hvor stor databasen blir og hvordan du planlegger å administrere den. MySQL har bevist seg raskt og pålitelig. Den er også åpen kildekode og kompatibel med hvilken som helst serverplattform du velger.
RADIUS-serveren er kjernen i WPA2 Enterprise. Det er hovedfaktoren som skiller bedriftsnettverk fra personlige. RADIUS er ansvarlig for å håndtere tilkoblinger og autentisering. Den koordinerer også alt som går mellom ruteren, databasen og klientene. Det er en rekke alternativer for å sette opp en RADIUS-server. I noen tilfeller har en ruter RADIUS innebygd. Det er også en rekke kommersielle alternativer å velge mellom. FreeRADIUS er en utmerket åpen kildekode RADIUS-server som kan distribueres på Linux-, Windows- og Mac-baserte servere. I alle fall må du konfigurere RADIUS-serveren til å koble til og bruke MySQL-databasen.
Du trenger noen nøkler. Krypteringsnøkler er åpenbart en viktig komponent i hele ligningen. Igjen, det er flere måter å nærme seg generere nøklene dine og etablere en sertifikatmyndighet. På nesten ethvert operativsystem er OpenSSL et flott alternativ. OpenSSL er også et open source-program som er kompatibelt med omtrent hvilken som helst plattform.
Med både servere konfigurert og kjørt og nøklene generert, kan du endelig konfigurere ruteren. Hver ruter er forskjellig, så det er ikke lett å gå nærmere inn på det her. Bare sørg for at du bytter ruterenes trådløse innstillinger til WPA2 Enterprise med AES-kryptering. Du må også gi ruteren din informasjon for å koble til RADIUS-serveren.
Endelig kan du begynne å koble til klienter. Lag klientinformasjon og bytt nøkler. Å koble hver enkelt klient vil være annerledes. Hvert operativsystem og enhet håndterer tilkobling til nettverk og administrerer tilkoblinger på en annen måte. Generelt sett trenger du sertifikatene dine og påloggingsinformasjonen du allerede har opprettet. Sørg for å konfigurere klientenhetene slik at de kobles til automatisk for å spare fremtidige problemer.
Så bytter jeg?
Avhengig av hvem du er og hva du trenger nettverket ditt å gjøre, kan det være lurt å bytte. Hvis nettverket ditt er konfigurert til å bruke WEP eller WPA for øyeblikket, bytter du til WPA2 nå! Ikke vent. Bare gjør det. Hvis du bruker WPA2 Personal, og du tenker å hoppe over til bedriften, er det ikke så tydelig.
Ikke bytt til WPA2 Enterprise hvis du er en hjemmebruker og ikke vet noe om databaser eller kjører servere. Du vil bare ende opp frustrert med et ødelagt nettverk. Hold deg til WPA2 Personal og velg et sterkt passord. Du blir mye lykkeligere med det.
Hvis du driver en virksomhet og har ansatte, kan bytte til WiFi til bedrifter være det rette trekket for deg. Bare vær sikker på at du er forberedt og har alle delene og brikkene i orden før du tar spranget. Riktig konfigurasjon er like viktig for sikkerheten som å velge riktig kryptering og WiFi-standard.
